Envenenamiento LLMNR
¿Qué es Envenenamiento LLMNR?
Envenenamiento LLMNRTecnica adversario en medio (MITRE T1557.001) que abusa del protocolo Link-Local Multicast Name Resolution en UDP/5355 para redirigir a las victimas a hosts controlados por el atacante.
LLMNR (RFC 4795) es un protocolo de resolucion de nombres de respaldo de Windows que se usa cuando DNS falla. Los clientes envian una consulta multicast por UDP/5355 con el nombre no resuelto y cualquier host del enlace local puede responder. Un atacante en el mismo dominio de difusion responde con su propia IP y luego provoca que el cliente SMB o HTTP de la victima se autentique, capturando el challenge-response NTLMv2 para cracking offline o NTLM relay. El envenenamiento LLMNR es uno de los ataques internos mas fiables porque Windows lo sigue usando ante errores tipograficos, recursos mal configurados e impresoras obsoletas. La mitigacion es directa: desactivar LLMNR via GPO (Turn off Multicast Name Resolution) y depender solo de DNS. Las senales de deteccion incluyen trafico UDP/5355 anomalo y eventos 4624 desde hosts no autorizados.
● Ejemplos
- 01
Un atacante en una VLAN de invitados captura decenas de hashes NTLMv2 en una hora respondiendo a nombres mal escritos.
- 02
Combinar el envenenamiento LLMNR con ntlmrelayx para reenviar autenticaciones a un destino SMB sin firma.
● Preguntas frecuentes
¿Qué es Envenenamiento LLMNR?
Tecnica adversario en medio (MITRE T1557.001) que abusa del protocolo Link-Local Multicast Name Resolution en UDP/5355 para redirigir a las victimas a hosts controlados por el atacante. Pertenece a la categoría de Ataques y amenazas en ciberseguridad.
¿Qué significa Envenenamiento LLMNR?
Tecnica adversario en medio (MITRE T1557.001) que abusa del protocolo Link-Local Multicast Name Resolution en UDP/5355 para redirigir a las victimas a hosts controlados por el atacante.
¿Cómo funciona Envenenamiento LLMNR?
LLMNR (RFC 4795) es un protocolo de resolucion de nombres de respaldo de Windows que se usa cuando DNS falla. Los clientes envian una consulta multicast por UDP/5355 con el nombre no resuelto y cualquier host del enlace local puede responder. Un atacante en el mismo dominio de difusion responde con su propia IP y luego provoca que el cliente SMB o HTTP de la victima se autentique, capturando el challenge-response NTLMv2 para cracking offline o NTLM relay. El envenenamiento LLMNR es uno de los ataques internos mas fiables porque Windows lo sigue usando ante errores tipograficos, recursos mal configurados e impresoras obsoletas. La mitigacion es directa: desactivar LLMNR via GPO (Turn off Multicast Name Resolution) y depender solo de DNS. Las senales de deteccion incluyen trafico UDP/5355 anomalo y eventos 4624 desde hosts no autorizados.
¿Cómo defenderse de Envenenamiento LLMNR?
Las defensas contra Envenenamiento LLMNR combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Envenenamiento LLMNR?
Nombres alternativos comunes: Spoofing LLMNR, T1557.001.
● Términos relacionados
- attacks№ 715
Envenenamiento NBT-NS
Ataque adversario en medio que abusa del trafico heredado de NetBIOS Name Service en UDP/137 para falsificar respuestas de nombres y capturar autenticaciones NTLM.
- attacks№ 924
Ataque con Responder
Ataque que usa la herramienta Responder de Laurent Gaffie para envenenar LLMNR, NBT-NS y mDNS, levantar servidores falsos y capturar o reenviar credenciales NTLM en la red local.
- attacks№ 746
Ataque de NTLM Relay
Ataque adversario en medio (MITRE T1557.001) en el que el atacante reenvia la autenticacion NTLM de una victima a otro servicio para suplantarla sin conocer la contrasena.
- attacks№ 1057
Ataque de SMB Relay
Variante especifica de NTLM relay en la que el atacante reenvia la autenticacion SMB de una victima a otro servidor SMB para ejecutar codigo o acceder a archivos con su identidad.
- attacks№ 790
Pass-the-Hash
Ataque de reutilizacion de credenciales que autentica en sistemas Windows usando un hash NTLM robado en lugar de la contrasena en claro.